ربما سمعت أن السماء قد سقطت وأن نهاية العالم الأمنية قد حدثت بسبب هجومين جديدين تم تسميتهما الانهيار والسبكتر. إذا كنت تعمل في مجال تكنولوجيا المعلومات أو في أي مجال آخر من البنية التحتية لأجهزة الكمبيوتر واسعة النطاق ، فمن المحتمل أن تشعر أنها كذلك ، وتتطلع بالفعل إلى أيام إجازتك في 2018.
سمعت المنافذ الإعلامية لأول مرة شائعات عن هذه الثغرات الأم في أواخر عام 2017 ، وكانت التقارير الأخيرة تخمينية إلى حد كبير وأجبرت في النهاية شركات مثل مايكروسوفت, أمازون، وجوجل (الذي اكتشف فريق Project Zero الأمر برمته) للرد بالتفاصيل. لقد جعلت هذه التفاصيل قراءة ممتعة إذا كنت مهتمًا بهذا النوع من الأشياء.
ولكن بالنسبة لأي شخص آخر ، بغض النظر عن الهاتف أو الكمبيوتر الذي تستخدمه ، قد يبدو الكثير مما تقرأه أو تسمعه وكأنه بلغة مختلفة. هذا لأنه كذلك ، وما لم تكن طليقًا في التحدث عبر الإنترنت ، فقد تضطر إلى تشغيله من خلال مترجم من نوع ما.
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
أخبار جيدة! لقد وجدت هذا المترجم ، وإليك ما هو أنت بحاجة إلى معرفة معلومات حول Meltdown و Specter وما عليك القيام به حيال ذلك.
ما هم
إن Meltdown و Specter هما شيئان مختلفان ، ولكن منذ أن تم الكشف عنهما في نفس الوقت وكلاهما يتعامل مع بنية المعالجات الدقيقة على مستوى الأجهزة ، يتم الحديث عنهما معًا. من شبه المؤكد أن الهاتف الذي تستخدمه الآن يتأثر باستغلال Specter ، ولكن لم يجد أحد طريقة لاستخدامه - حتى الآن.
يحدد المعالج الموجود داخل هاتفك مدى تعرضه لهذه الأنواع من عمليات الاستغلال ، ولكن من الآمن افتراض أنها جميعًا تؤثر عليك إذا لم تكن متأكدًا. ونظرًا لأنهم لا يستغلون خطأً وبدلاً من ذلك يستخدمون عملية مفترض حتى يحدث ، لا يوجد حل سهل بدون تحديث البرنامج.
انظر إلى الهاتف بين يديك ؛ انها عرضة ل بعض من هذه الهجمات.
تعتمد أجهزة الكمبيوتر (بما في ذلك الهواتف وأجهزة الكمبيوتر الصغيرة الأخرى أيضًا) على ما يسمى عزل الذاكرة للأمان بين التطبيقات. ليست الذاكرة المستخدمة لتخزين البيانات على المدى الطويل ، ولكن الذاكرة المستخدمة بواسطة الأجهزة والبرامج أثناء عمل كل شيء في الوقت الفعلي. تخزن العمليات البيانات بشكل منفصل عن العمليات الأخرى ، لذلك لا تعرف أي عملية أخرى مكان أو وقت كتابتها أو قراءتها.
تريد جميع التطبيقات والخدمات التي تعمل على هاتفك أن يقوم المعالج ببعض الأعمال ويعطيه باستمرار قائمة بالأشياء التي يحتاجون إلى حسابها. لا يقوم المعالج بهذه المهام بالترتيب الذي تم استلامه به - وهذا قد يعني بعض أجزاء من وحدة المعالجة المركزية في وضع الخمول وتنتظر انتهاء الأجزاء الأخرى ، لذا يمكن تنفيذ الخطوة الثانية بعد الخطوة الأولى تم الانتهاء من. بدلاً من ذلك ، يمكن للمعالج المضي قدمًا إلى الخطوة الثالثة أو الخطوة الرابعة والقيام بها مسبقًا. هذا يسمي خارج النظام التنفيذ وجميع وحدات المعالجة المركزية الحديثة تعمل بهذه الطريقة.
لا يستغل كل من Meltdown و Specter خطأً - فهم يهاجمون الطريقة التي يحسب بها المعالج البيانات.
نظرًا لأن وحدة المعالجة المركزية أسرع من أي برنامج ، فإنها تقوم أيضًا ببعض التخمين. التنفيذ التخميني هو عندما تقوم وحدة المعالجة المركزية بإجراء عملية حسابية لم يُطلب منها بعد القيام بها بناءً على الحسابات السابقة كان طلب أداء. جزء من تحسين البرنامج لتحسين أداء وحدة المعالجة المركزية هو اتباع بعض القواعد والتعليمات. هذا يعني أنه في معظم الأحيان يكون هناك سير عمل عادي سيتم اتباعه ويمكن لوحدة المعالجة المركزية تخطيها للأمام لتكون البيانات جاهزة عندما يطلبها البرنامج. ولأنها سريعة جدًا ، إذا لم تكن هناك حاجة للبيانات بعد كل شيء ، فسيتم إهمالها. لا يزال هذا أسرع من انتظار طلب إجراء عملية حسابية.
هذا التنفيذ التخميني هو ما يسمح لكل من Meltdown و Specter بالوصول إلى البيانات التي لن يتمكنوا من الوصول إليها ، على الرغم من قيامهم بذلك بطرق مختلفة.
الانهيار
معالجات Intel ، وأحدث معالجات سلسلة A من Apple ، وغيرها من معالجات ARM SoCs التي تستخدم نواة A75 الجديدة (في الوقت الحالي فقط Qualcomm Snapdragon 845) معرضة لاستغلال Meltdown.
يستفيد الانهيار مما يسمى "خطأ تصعيد الامتياز" الذي يمنح التطبيق إمكانية الوصول إلى ذاكرة kernel. هذا يعني أن أي رمز يمكنه الوصول إلى هذه المنطقة من الذاكرة - حيث يتم الاتصال بين يحدث kernel و CPU - بشكل أساسي لديه حق الوصول إلى كل ما يحتاجه لتنفيذ أي رمز على النظام. عندما يمكنك تشغيل أي رمز ، يكون لديك حق الوصول إلى جميع البيانات.
شبح
يؤثر Spectre على كل معالج حديث تقريبًا ، بما في ذلك المعالج الموجود على هاتفك.
لا يحتاج Spectre إلى إيجاد طريقة لتنفيذ التعليمات البرمجية على جهاز الكمبيوتر الخاص بك لأنه يمكن أن "يخدع" المعالج لتنفيذ التعليمات الخاصة به ، ثم يمنح الوصول إلى البيانات من التطبيقات الأخرى. هذا يعني أن الاستغلال يمكنه رؤية ما تفعله التطبيقات الأخرى وقراءة البيانات التي خزنتها. الطريقة التي تعالج بها وحدة المعالجة المركزية التعليمات خارج الترتيب في الفروع هي المكان الذي يهاجم فيه Specter.
يستطيع كل من Meltdown و Specter كشف البيانات التي يجب أن تكون في وضع الحماية. يفعلون ذلك على مستوى الأجهزة ، لذا فإن نظام التشغيل الخاص بك لا يجعلك محصنًا - تتأثر Apple و Google و Microsoft وجميع أنواع أنظمة تشغيل Unix و Linux مفتوحة المصدر بشكل متساوٍ.
بسبب تقنية معروفة باسم جدولة ديناميكية يسمح بقراءة البيانات أثناء الحوسبة بدلاً من تخزينها أولاً ، هناك الكثير من المعلومات الحساسة في ذاكرة الوصول العشوائي لقراءة الهجوم. إذا كنت مهتمًا بهذا النوع من الأشياء ، فإن الأوراق البيضاء التي نشرتها جامعة غراتس للتكنولوجيا هي قراءات رائعة. لكنك لست بحاجة إلى قراءتها أو فهمها لحماية نفسك.
هل أنا متأثر؟
نعم. على الأقل كنت كذلك. في الأساس ، تأثر الجميع حتى بدأت الشركات في تصحيح برامجها ضد هذه الهجمات.
البرنامج الذي يحتاج إلى التحديث موجود في نظام التشغيل ، وهذا يعني أنك بحاجة إلى تصحيح من Apple أو Google أو Microsoft. (إذا كنت تستخدم جهاز كمبيوتر يعمل بنظام Linux ولا تستخدم تقنية المعلومات ، فلديك التصحيح بالفعل أيضًا. استخدم محدث البرنامج لتثبيته أو اطلب من صديق موجود في المعلومات أن يرشدك خلال تحديث النواة الخاصة بك). الأخبار الرائعة هي أن Apple و Google و Microsoft لديها تصحيحات إما تم نشرها بالفعل أو في طريقها في المستقبل القريب للإصدارات المدعومة.
التفاصيل
- معالجات إنتل منذ 1995 إلا بالنسبة لمنصة Itanium وما قبل 2013 ATOM تتأثر كل من Meltdown و Specter.
- تتأثر جميع معالجات AMD الحديثة بهجوم Spectre. AMD PRO و AMD FX (تم استخدام AMD 9600 R7 و AMD FX-8320 كدليل على المفهوم) وحدات المعالجة المركزية في التكوين غير القياسي (تم تمكين kernel BPF JIT) بواسطة Meltdown. من المتوقع حدوث هجوم مماثل ضد قراءة ذاكرة القناة الجانبية جميع وحدات المعالجة المركزية 64 بت بما في ذلك معالجات AMD.
- معالجات ARM باستخدام النوى Cortex R7 و R8 و A8 و A9 و A15 و A17 و A57 و A72 و A73 و A75 مشتبه بها في هجمات Spectre. المعالجات المزودة بـ Cortex A75 ( سنابدراجون 845) النوى عرضة لهجمات الانهيار. من المتوقع أن تستخدم الرقائق المتغيرات من هذه النوى ، مثل خط Snapdragon من Qualcomm أو خط Exynos من سامسونج، سيكون لها أيضًا نقاط ضعف مماثلة أو نفس. تعمل Qualcomm مباشرة مع ARM ، ولديها هذا البيان حول القضايا:
Qualcomm Technologies، Inc. على دراية بالبحوث الأمنية حول ثغرات المعالج على مستوى الصناعة التي تم الإبلاغ عنها. يعد توفير التقنيات التي تدعم الأمان والخصوصية القوي أولوية بالنسبة لشركة Qualcomm ، وكذلك على هذا النحو ، لقد عملنا مع Arm وآخرين لتقييم التأثير وتطوير وسائل التخفيف من أجلنا العملاء. نحن نعمل بنشاط على دمج ونشر وسائل التخفيف ضد الثغرات الأمنية لمنتجاتنا المتأثرة ، ونواصل العمل على تقويتها قدر الإمكان. نحن بصدد نشر عوامل التخفيف هذه لعملائنا ونشجع الأشخاص على تحديث أجهزتهم عند توفر التصحيحات.
قررت NVIDIA أن هذه الثغرات (أو غيرها من الثغرات المماثلة التي قد تنشأ) لا تؤثر على حوسبة وحدة معالجة الرسومات ، لذا فإن أجهزتهم في الغالب محصنة. سيعملون مع شركات أخرى لتحديث برامج تشغيل الأجهزة للمساعدة في التخفيف من أي مشكلات في أداء وحدة المعالجة المركزية ، ويقومون بتقييم SoCs المستندة إلى ARM (Tegra).
Webkit، الأشخاص الذين يقفون وراء محرك عرض المتصفح في Safari وسابق محرك Blink من Google ، لديهم تحليل ممتاز لكيفية تأثير هذه الهجمات بالضبط على التعليمات البرمجية الخاصة بهم. سينطبق الكثير منها على أي مترجم أو مترجم وهي قراءة رائعة. شاهد كيف يعملون لإصلاحها ومنعها من الحدوث في المرة القادمة.
في اللغة الإنجليزية البسيطة ، هذا يعني أنه ما لم تكن لا تزال تستخدم هاتفًا أو جهازًا لوحيًا أو كمبيوترًا قديمًا جدًا ، فيجب أن تعتبر نفسك عرضة للخطر دون تحديث نظام التشغيل. هنا ما نعرفه حتى الآن على تلك الجبهة:
- قامت Google بتصحيح نظام Android ضد كل من هجمات Specter و Meltdown في ديسمبر 2017 و يناير 2018 بقع.
- قامت Google بتصحيح أجهزة Chromebook باستخدام إصدارات 3.18 و 4.4 من kernel في ديسمبر 2017 مع OS 63. الأجهزة ذات الإصدارات الأخرى من النواة (انظر هنا لتجد لك) سيتم تصحيحه قريبًا. في سهل الانجليزية: لم يتم تصحيح أجهزة Toshiba Chromebook و Acer C720 و Dell Chromebook 13 و Chromebook Pixels من 2013 و 2015 (وبعض الأسماء التي ربما لم تسمع بها من قبل) حتى الآن ولكن سيتم طرحها قريبًا. معظم أجهزة Chromebox و Chromebases و Chromebits هي ملفات ليس مصححة ولكن سيتم قريبا.
- بالنسبة للأجهزة التي تعمل بنظام التشغيل Chrome والتي لم يتم تصحيحها ، هناك ميزة أمان جديدة تسمى عزل الموقع سوف يخفف من أي مشاكل من هذه الهجمات.
- قامت Microsoft بتصحيح كلا الاستغلال اعتبارًا من يناير 2018.
- قامت Apple بتصحيح macOS و iOS ضد Meltdown بدءًا من تحديث ديسمبر. تم تأجيل الجولة الأولى من تحديثات Specter في أوائل يناير. تحقق من iMore لـ كل ما تحتاج إلى معرفته حول عيوب وحدة المعالجة المركزية هذه وكيف تؤثر على جهاز Mac و iPad و iPhone.
- تم إرسال التصحيحات إلى جميع الإصدارات المدعومة من Linux kernel ، ويمكن تحديث أنظمة التشغيل مثل Ubuntu أو Red Hat من خلال تطبيق تحديث البرنامج.
بالنسبة إلى تفاصيل Android ، فإن ملف جهاز Nexus 5X, Nexus 6P, بكسل, Pixel XL, بكسل 2و و Pixel 2 XL تم تصحيحه وسترى تحديثًا قريبًا إذا لم تكن قد تلقيته بالفعل. يمكنك أيضًا تحديث هذه الأجهزة يدويًا إذا أردت. تم أيضًا تصحيح مشروع Android Open Source (الرمز المستخدم لإنشاء نظام التشغيل لكل هاتف يعمل بنظام Android) وتوزيعات الجهات الخارجية مثل النسب يمكن تحديثها.
كيفية تحديث Pixel أو Nexus يدويًا
سامسونج, ال جي, موتورولا، وموردي Android الآخرين (الشركات التي تصنع الهواتف والأجهزة اللوحية وأجهزة التلفزيون) ، سيصلحون منتجاتهم بتحديث يناير 2018. البعض ، مثل ملاحظة 8 أو جالكسي S8، سيرى ذلك قبل الآخرين ، لكن Google أتاحت التصحيح لـ الكل الأجهزة. نتوقع رؤية المزيد من الأخبار من جميع الشركاء لإعلامنا بما يمكن توقعه ومتى.
ماذا بإمكاني أن أفعل؟
إذا كان لديك منتج معرض للخطر ، فمن السهل أن تنشغل بالضجيج ، لكن لا ينبغي عليك ذلك. لا يحدث كل من Spectre و Meltdown ويعتمدان على أنت تثبيت برامج ضارة من نوع ما تعمل على تعزيزها. اتباع بعض الممارسات الآمنة سيبقيك محصنًا من أي استغلال على أي جهاز كمبيوتر.
- قم فقط بتثبيت البرامج التي تثق بها من مكان تثق به. هذه فكرة جيدة دائمًا ، ولكن خاصة إذا كنت تنتظر التصحيح.
- قم بتأمين أجهزتك باستخدام شاشة قفل جيدة وتشفير. يقوم هذا بأكثر من مجرد إبعاد شخص آخر ، حيث لا تستطيع التطبيقات فعل أي شيء أثناء قفل هاتفك دون إذنك.
- قراءة وفهم الأذونات على كل ما تقوم بتشغيله أو تثبيته على هاتفك. لا تخف من طلب المساعدة هنا!
- استخدم متصفح الويب الذي يحظر البرامج الضارة. يمكننا أن نوصي بـ Chrome أو Firefox ، وقد تحميك المتصفحات الأخرى أيضًا من البرامج الضارة المستندة إلى الويب. اسأل الأشخاص الذين يصنعونها ويوزعونها إذا كنت غير متأكد. قد لا يكون متصفح الويب المرفق بهاتفك هو الخيار الأفضل هنا ، خاصةً إذا كان لديك طراز قديم. إن Edge و Safari موثوقان أيضًا لأجهزة Windows أو MacOS و iOS.
- لا تفتح روابط على وسائل التواصل الاجتماعي أو في بريد إلكتروني أو في أي رسالة من شخص لا تعرفه. حتى لو كانوا من أشخاص تعرفهم ، فتأكد من أنك تثق في متصفح الويب الخاص بك قبل النقر أو النقر. يتضاعف هذا مع روابط إعادة التوجيه التي تخفي عنوان URL للموقع. نحن نستخدم هذا النوع من الروابط في كثير من الأحيان وهناك فرص كثيرة لوسائل الإعلام التي تقرأها على الإنترنت. كن حذرا.
- لا تكن غبيا. أنت تعرف ماذا يعني هذا لك. ثق بحكمك وأخطئ في جانب الحذر.
والخبر السار هو أن الطريقة التي يتم بها تصحيح مآثر هذه القنوات الجانبية ليس سيؤدي إلى حدوث تباطؤ كبير تم تضخيمه قبل إصدار أي تحديثات. هذه هي الطريقة التي يعمل بها الويب ، وإذا قرأت عن كيف سيكون هاتفك أو جهاز الكمبيوتر لديك أبطأ بنسبة 30٪ بعد تطبيق أي إصلاح ، فذلك لأن الإثارة تبيع. المستخدمون الذين يقومون بتشغيل برنامج محدث (وكانوا أثناء الاختبار) لا يرونه.
لا يحتوي التصحيح على تأثير الأداء الذي ادعى البعض أنه سيحققه ، وهذا شيء رائع.
جاء كل هذا لأن هذه الهجمات تقيس فترات زمنية دقيقة وتغير التصحيحات الأولية أو تعطل دقة بعض مصادر التوقيت من خلال البرنامج. تعني الدقة الأقل أبطأ عند إجراء عمليات الحوسبة وقد تم تضخيم التأثير ليكون أكبر بكثير مما هو عليه. حتى الانخفاض الطفيف في الأداء الناتج عن التصحيحات يتم التخفيف من حدته من قبل الشركات الأخرى ونرى ذلك تقوم NVIDIA بتحديث الطريقة التي تعالج بها وحدات معالجة الرسومات الأرقام أو تعمل Mozilla على طريقة حساب البيانات لجعلها متساوية بسرعة. لن يكون هاتفك أبطأ في تصحيح يناير 2018 وكذلك جهاز الكمبيوتر الخاص بك ما لم يكن قديمًا جدًا ، على الأقل ليس بأي طريقة ملحوظة.
توقف عن القلق بشأنه وبدلاً من ذلك تأكد من القيام بكل ما في وسعك للحفاظ على أمان بياناتك.
ماذا يسلب من كل ذلك
دائمًا ما يكون للمخاوف الأمنية نوع من التأثير الحقيقي. لم ير أحد أي حالات من استخدام Meltdown أو Specter في البرية ، ولأن معظم الأجهزة التي نستخدمها كل يوم يتم تحديثها أو سيتم تحديثها قريبًا ، فمن المحتمل أن تظل التقارير على هذا النحو. لكن هذا لا يعني أنه يجب تجاهلها.
تعامل مع مثل هذه التهديدات الأمنية على محمل الجد ولكن لا تنخدع بكل هذه الضجة ؛ لتعلم!
كان من المحتمل أن تكون عمليات استغلال القنوات الجانبية هذه حدثًا كبيرًا وخطيرًا لتغيير قواعد اللعبة قلق الناس بشأنه عندما يتعلق الأمر بالأمن السيبراني. أي استغلال يؤثر على الأجهزة يعد أمرًا خطيرًا ، وعندما يهاجم شيئًا ما عن قصد بدلاً من خطأ ، فإنه يصبح أكثر خطورة. لحسن الحظ ، تمكن الباحثون والمطورون من التقاط واحتواء وتصحيح Meltdown و Specter قبل حدوث أي استخدام واسع النطاق.
ما هو مهم حقًا هنا هو أن تحصل على المعلومات الصحيحة حتى تعرف ما يجب فعله في كل مرة تسمع فيها عن تهديد إلكتروني جديد يحتاج إلى كل الأشياء الرقمية الخاصة بك. عادة ما تكون هناك طريقة عقلانية للتخفيف من أي آثار خطيرة بمجرد تجاوز جميع العناوين الرئيسية.
ابق بأمان!
هل استمعت إلى Android Central Podcast لهذا الأسبوع؟
كل أسبوع ، يقدم لك Android Central Podcast آخر أخبار التكنولوجيا والتحليلات والأحداث الساخنة مع مضيفين مشاركين مألوفين وضيوف مميزين.
- الاشتراك في Pocket Casts: الصوت
- اشترك في Spotify: الصوت
- اشترك في iTunes: الصوت
قد نربح عمولة على المشتريات باستخدام روابطنا. أعرف أكثر.
هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!
أفضل سماعات الأذن اللاسلكية مريحة ، وذات صوت رائع ، ولا تكلف الكثير ، ويمكن وضعها بسهولة في الجيب.
كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد.
أكدت شركة Sony رسميًا أنها تعمل على PlayStation 5. إليك كل ما نعرفه عنها حتى الآن.
أطلقت نوكيا هاتفين جديدين يعملان بنظام Android One بسعر أقل من 200 دولار.
يعد Nokia 2.4 و Nokia 3.4 أحدث الإضافات إلى مجموعة الهواتف الذكية ذات الميزانية المحدودة من HMD Global. نظرًا لأن كلاهما يعمل بنظام Android One ، فمن المضمون تلقي تحديثين رئيسيين لنظام التشغيل وتحديثات أمنية منتظمة لمدة تصل إلى ثلاث سنوات.
قم بتأمين منزلك باستخدام أجراس وأقفال أبواب SmartThings.
أحد أفضل الأشياء في SmartThings هو أنه يمكنك استخدام عدد كبير من أجهزة الجهات الخارجية الأخرى على نظامك ، بما في ذلك أجراس الباب والأقفال. نظرًا لأنهم جميعًا يشتركون بشكل أساسي في نفس دعم SmartThings ، فقد ركزنا على الأجهزة التي تتمتع بأفضل المواصفات والحيل لتبرير إضافتها إلى ترسانة SmartThings الخاصة بك.